Análise de vulnerabilidades do compilador Solidity e estratégias de resposta
O compilador é um dos componentes fundamentais dos sistemas de computação modernos, cuja função é converter o código fonte em linguagens de programação de alto nível em instruções executáveis pelo computador. Comparado à segurança do código de aplicação, a segurança do próprio compilador é frequentemente negligenciada. No entanto, como um programa de computador, o compilador também pode apresentar vulnerabilidades de segurança, que em circunstâncias específicas podem acarretar riscos de segurança graves.
O papel do compilador Solidity é converter o código do contrato inteligente em código de instrução da Máquina Virtual Ethereum (EVM). Ao contrário das vulnerabilidades da própria EVM, as vulnerabilidades do compilador Solidity se manifestam principalmente em problemas que ocorrem ao converter Solidity em código EVM. Isso pode resultar em código EVM gerado que não corresponde às expectativas do desenvolvedor, levando a anomalias na execução do contrato inteligente e colocando em risco a segurança dos ativos dos usuários.
Aqui estão alguns exemplos reais de vulnerabilidades do compilador Solidity:
SOL-2016-9 HighOrderByteCleanStorage
A vulnerabilidade existe em versões anteriores do compilador Solidity (\u003e=0.1.6 \u003c0.4.4). Em certas circunstâncias, as variáveis de storage podem ser modificadas acidentalmente, não correspondendo ao comportamento esperado. Essa inconsistência pode levar a consequências graves, especialmente quando as variáveis são usadas para validação de permissões ou contabilidade de ativos.
SOL-2022-4 Efeitos Colaterais de Memória em InlineAssembly
A vulnerabilidade existe nas versões 0.8.13 a 0.8.15 do compilador. Devido a um erro no processo de otimização da compilação, pode resultar na remoção incorreta de operações de escrita de memória, levando a um comportamento do programa que não corresponde ao esperado.
SOL-2022-6 Overflow de Cabeçalho de Reencodificação Abi com Limpeza de Array Estático
A vulnerabilidade afeta as versões do compilador de 0.5.8 a 0.8.16. Ao realizar a operação abi.encode em um array do tipo calldata, pode haver a limpeza incorreta de alguns dados, resultando na modificação de dados adjacentes, o que leva a uma inconsistência nos dados após a codificação e decodificação.
Em relação a vulnerabilidades do compilador Solidity, a equipe de segurança da blockchain Cobo propõe as seguintes recomendações:
Para desenvolvedores:
Use uma versão mais recente do compilador Solidity
Melhorar os casos de teste unitários
Evite usar assembly inline, operações complexas de codificação e decodificação ABI, etc.
Para a equipe de segurança:
Considerar os riscos de segurança que o compilador pode introduzir durante a auditoria
No processo SDL, urge-se a atualização da versão do compilador
Avaliar o impacto real da vulnerabilidade do compilador com base nas circunstâncias específicas
Recursos úteis:
Blog oficial de alertas de segurança do Solidity
Lista de bugs do repositório GitHub do Solidity
Dicas de segurança na página de código do contrato Etherscan
Em suma, embora não seja necessário entrar em pânico excessivo, os desenvolvedores e profissionais de segurança devem estar plenamente cientes dos riscos potenciais das vulnerabilidades do compilador Solidity e tomar as medidas apropriadas para reduzir os possíveis riscos de segurança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
6
Compartilhar
Comentário
0/400
ZkProofPudding
· 08-01 20:20
Mais um compilador refrescante
Ver originalResponder0
TheMemefather
· 08-01 20:19
O compilador também tem vulnerabilidades? Que chato.
Ver originalResponder0
HodlOrRegret
· 08-01 20:18
Mais uma vez houve um bug após a atualização, o investidor de retalho é sempre quem sofre as maiores perdas.
Ver originalResponder0
wrekt_but_learning
· 08-01 20:16
Esta vulnerabilidade de código é realmente uma armadilha, dá-me arrepios na pele.
Ver originalResponder0
GweiTooHigh
· 08-01 20:13
O compilador voltou a ter um BUG. É muito irritante.
Ver originalResponder0
BakedCatFanboy
· 08-01 20:11
Mais uma vulnerabilidade do EVM, céus, não consigo lidar com isso.
A vulnerabilidade do compilador Solidity ameaça a segurança dos contratos inteligentes, os desenvolvedores devem estar atentos.
Análise de vulnerabilidades do compilador Solidity e estratégias de resposta
O compilador é um dos componentes fundamentais dos sistemas de computação modernos, cuja função é converter o código fonte em linguagens de programação de alto nível em instruções executáveis pelo computador. Comparado à segurança do código de aplicação, a segurança do próprio compilador é frequentemente negligenciada. No entanto, como um programa de computador, o compilador também pode apresentar vulnerabilidades de segurança, que em circunstâncias específicas podem acarretar riscos de segurança graves.
O papel do compilador Solidity é converter o código do contrato inteligente em código de instrução da Máquina Virtual Ethereum (EVM). Ao contrário das vulnerabilidades da própria EVM, as vulnerabilidades do compilador Solidity se manifestam principalmente em problemas que ocorrem ao converter Solidity em código EVM. Isso pode resultar em código EVM gerado que não corresponde às expectativas do desenvolvedor, levando a anomalias na execução do contrato inteligente e colocando em risco a segurança dos ativos dos usuários.
Aqui estão alguns exemplos reais de vulnerabilidades do compilador Solidity:
A vulnerabilidade existe em versões anteriores do compilador Solidity (\u003e=0.1.6 \u003c0.4.4). Em certas circunstâncias, as variáveis de storage podem ser modificadas acidentalmente, não correspondendo ao comportamento esperado. Essa inconsistência pode levar a consequências graves, especialmente quando as variáveis são usadas para validação de permissões ou contabilidade de ativos.
A vulnerabilidade existe nas versões 0.8.13 a 0.8.15 do compilador. Devido a um erro no processo de otimização da compilação, pode resultar na remoção incorreta de operações de escrita de memória, levando a um comportamento do programa que não corresponde ao esperado.
A vulnerabilidade afeta as versões do compilador de 0.5.8 a 0.8.16. Ao realizar a operação abi.encode em um array do tipo calldata, pode haver a limpeza incorreta de alguns dados, resultando na modificação de dados adjacentes, o que leva a uma inconsistência nos dados após a codificação e decodificação.
Em relação a vulnerabilidades do compilador Solidity, a equipe de segurança da blockchain Cobo propõe as seguintes recomendações:
Para desenvolvedores:
Para a equipe de segurança:
Recursos úteis:
Em suma, embora não seja necessário entrar em pânico excessivo, os desenvolvedores e profissionais de segurança devem estar plenamente cientes dos riscos potenciais das vulnerabilidades do compilador Solidity e tomar as medidas apropriadas para reduzir os possíveis riscos de segurança.